Wirus Facebook - proszę o pomoc

marta.k · 20 Sierpień 2011 14:56

Jestem kolejną naiwną, która dała się nabrać na podchwytliwy link z facebook i wirus przeniknął do mojego komputera. Internet działa w zwolnionym tempie, jednak co dziwne - Facebook dziala bez zarzutów. Mój Avast zwariował, wyświetla mi się tylko komunikat, że mój komputer nie jest chroniony. Po przeczytaniu innych postów związanych z wirusem facebook’a stwierdzam, że to ten sam. Oto logi:

Extras : http://wklej.to/MxMTF

OTL: http://wklej.to/Bsrmg

Teraz pytanie, co dalej.

Z góry dzięki za pomoc.

spandaupol · 20 Sierpień 2011 15:08

Dobra najpierw największy syf później reszta

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL SRV - [2011-08-19 20:16:10 | 000,348,672 | ---- | M] () [Auto | Running] – C:\WINDOWS\update.5.0\svchost.exe – (srvbtcclient) SRV - [2011-08-19 20:14:44 | 000,632,832 | ---- | M] () [Auto | Running] – C:\WINDOWS\update.2\svchost.exe – (srviecheck) SRV - [2011-08-19 20:14:08 | 000,382,464 | ---- | M] () [Auto | Running] – C:\WINDOWS\update.7.1\svchostdriver.exe – (ddservice) SRV - [2011-08-19 20:13:04 | 000,258,048 | ---- | M] () [Auto | Running] – C:\WINDOWS\sysdriver32.exe – (srvsysdriver32) SRV - [2011-08-19 20:00:02 | 001,215,488 | -H-- | M] () [Auto | Running] – C:\WINDOWS\update.1\svchost.exe – (wxpdrivers) O4 - HKLM…\Run: [2032889.exe] C:\WINDOWS\TEMP\2032889.exe () O4 - HKLM…\Run: [41083131-loader2.exe] C:\WINDOWS\TEMP\41083131-loader2.exe () O4 - HKLM…\Run: [490388.exe] C:\Documents and Settings\Martusia\Ustawienia lokalne\Temp\490388.exe () O4 - HKLM…\Run: [5072350.exe] C:\WINDOWS\TEMP\5072350.exe () O4 - HKLM…\Run: [6367840.exe] C:\WINDOWS\TEMP\6367840.exe () O4 - HKLM…\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe () O4 - HKLM…\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe () O4 - HKLM…\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe () O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe () O4 - HKLM…\Run: [tray_ico1] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O4 - HKLM…\Run: [wxpdrv] File not found O33 - MountPoints2{59221f4c-9734-11df-8d7c-00f1d000f1d0}\Shell\AutoRun\command - “” = E:\io3yalc.exe O33 - MountPoints2{59221f4c-9734-11df-8d7c-00f1d000f1d0}\Shell\open\Command - “” = E:\io3yalc.exe [2011-08-19 20:25:04 | 000,000,000 | —D | C] – C:\WINDOWS\ufa [2011-08-19 20:25:04 | 000,000,000 | —D | C] – C:\WINDOWS\rpcminer [2011-08-19 20:25:04 | 000,000,000 | —D | C] – C:\WINDOWS\phoenix [2011-08-19 20:16:11 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.5.0 [2011-08-19 20:14:46 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.2 [2011-08-19 20:14:30 | 000,000,000 | —D | C] – C:\Documents and Settings\LocalService\Dane aplikacji\WinRAR [2011-08-19 20:14:10 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.7.1 [2011-08-19 20:12:43 | 000,000,000 | —D | C] – C:\WINDOWS\av_ico [2011-08-19 20:10:42 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.1 [2011-08-19 20:10:38 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-7-0-lnk [2011-08-19 20:10:38 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-7-0 [2011-08-19 20:25:03 | 000,246,272 | ---- | M] () – C:\WINDOWS\unrar.exe [2011-08-19 20:25:03 | 000,182,617 | ---- | M] () – C:\WINDOWS\ufa.rar [2011-08-19 20:25:02 | 005,589,370 | ---- | M] () – C:\WINDOWS\phoenix.rar [2011-08-19 20:24:57 | 001,075,284 | ---- | M] () – C:\WINDOWS\rpcminer.rar [2011-08-19 20:19:03 | 000,000,178 | ---- | M] () – C:\WINDOWS\info1 [2011-08-19 20:17:34 | 000,232,960 | ---- | M] () – C:\WINDOWS\l1rezerv.exe [2011-08-19 20:14:28 | 000,904,792 | ---- | M] () – C:\WINDOWS\geoiplist.rar [2011-08-19 20:13:35 | 000,000,000 | ---- | M] () – C:\WINDOWS\loader2.exe_ok [2011-08-19 20:13:04 | 000,258,048 | ---- | M] () – C:\WINDOWS\sysdriver32_.exe [2011-08-19 20:13:04 | 000,258,048 | ---- | M] () – C:\WINDOWS\sysdriver32.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Documents and Settings\Martusia\Moje dokumenty\Programy\Flash-Player.exe” =- “C:\WINDOWS\update.1\svchost.exe” =- “C:\WINDOWS\update.tray-7-0\svchost.exe” =- “C:\WINDOWS\update.2\svchost.exe” =- :Commands [emptytemp] [resethosts]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

marta.k · 20 Sierpień 2011 15:44

Skan przed restartem:

http://wklej.to/FQXqs

Skan po restarcie:

http://wklej.to/PfEZC

spandaupol · 20 Sierpień 2011 16:12

Odinstaluj vShare Toolbar ConduitEngine

Przeskanuj pliki na http://www.virustotal.com/ podaj raport na forum

marta.k · 20 Sierpień 2011 16:37

http://wklej.to/svqdX - pierwszy plik

http://wklej.to/WnQy6 - drugi plik

spandaupol · 20 Sierpień 2011 17:15

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://vshare.toolbarhome.com/?hp=df FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.2 FF - prefs.js…keyword.URL: “http://vshare.toolbarhome.com/search.aspx?srch=ku&q=” [2011-04-16 22:32:52 | 000,000,000 | —D | M] (vShare) – C:\Documents and Settings\Martusia\Dane aplikacji\Mozilla\Firefox\Profiles\f1jose4v.default\extensions\vshare@toolbar [2010-05-18 00:28:02 | 000,002,426 | ---- | M] () – C:\Documents and Settings\Martusia\Dane aplikacji\Mozilla\Firefox\Profiles\f1jose4v.default\searchplugins\askcom.xml [2011-04-16 22:33:00 | 000,001,583 | ---- | M] () – C:\Documents and Settings\Martusia\Dane aplikacji\Mozilla\Firefox\Profiles\f1jose4v.default\searchplugins\web-search.xml [2010-05-18 10:15:37 | 000,001,196 | ---- | M] () – C:\Documents and Settings\Martusia\Dane aplikacji\Mozilla\Firefox\Profiles\f1jose4v.default\searchplugins\winamp-search.xml O4 - HKCU…\Run: [DU Meter] File not found O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - File not found 2011-08-19 20:14:30 | 004,636,907 | ---- | C] () – C:\WINDOWS\geoiplist :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

marta.k · 20 Sierpień 2011 17:56

Log z usuwania:

http://wklej.to/GuGXu

Log ze skanowania:

http://wklej.to/lYsZ0

spandaupol · 21 Sierpień 2011 07:41

Co do tych plików masz może kamerę internetową? Nie ruszam tego bo może to mieć związek z tym

Uruchom OTL klikasz Sprzątanie

Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Jak coś znajdzie pokaż raport na forum

marta.k · 22 Sierpień 2011 00:48

Oto, co wykazał program:

http://wklej.to/YGWFp

spandaupol · 22 Sierpień 2011 06:58

Proszę usunąć wszystko co znalazł Malwarebytes

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Powinno być już dobrze

marta.k · 29 Sierpień 2011 15:37

Dziękuję za pomoc, wszystko działa

Pozdrawiam, Marta